Question de : M. Thomas Ménagé
Loiret (4^e circonscription) - Rassemblement National

M. Thomas Ménagé interroge M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur l'absence de procédure systématique et obligatoire de vérification de la concordance entre l'identité du bénéficiaire d'un virement bancaire et l'intitulé du compte associé à l'IBAN fourni, ce qui constitue une faille persistante dans la sécurité des paiements électroniques. Aujourd'hui en France, lorsqu'un virement bancaire est initié, que ce soit par une entreprise, un particulier ou une collectivité, l'établissement bancaire de l'utilisateur du service de paiement exécute l'opération en se fondant uniquement sur les coordonnées bancaires (IBAN et BIC) renseignées, sans que le nom du bénéficiaire, pourtant demandé lors de la saisie, ne fasse l'objet d'une vérification de concordance avec le compte destinataire. Autrement dit, la validité de l'identifiant bancaire (IBAN) suffit à engager l'ordre de paiement, indépendamment de toute correspondance avec l'identité du destinataire mentionné. Cette situation découle de l'article L. 133-21 du code monétaire et financier, qui dispose que « si l'ordre de paiement est exécuté conformément à l'identifiant unique, il est réputé correctement exécuté en ce qui concerne le bénéficiaire désigné par cet identifiant ». Le texte précise également que « si l'identifiant unique fourni par l'utilisateur de services de paiement est inexact, le prestataire de services de paiement n'est pas responsable de la non-exécution ou de la mauvaise exécution de l'opération de paiement ». En d'autres termes, la responsabilité du prestataire de services de paiement (PSP) est limitée à l'exactitude de l'identifiant, sans égard pour le nom renseigné. Or cette disposition crée une vulnérabilité manifeste exploitée par les fraudeurs. Il n'est pas rare que des tiers malveillants interceptent ou falsifient un relevé d'identité bancaire (RIB), notamment dans le cadre de relations commerciales, de paiements de factures ou de remboursements. Il leur suffit alors de transmettre un IBAN valide, appartenant à un compte ouvert sous un nom différent, pour détourner les fonds au détriment de l'émetteur légitime du paiement. Ce type de fraude, connu sous le nom de « fraude au faux RIB », cause chaque année de lourdes pertes à de nombreuses entreprises, associations, collectivités et particuliers. Les victimes se retrouvent souvent sans recours, car les établissements bancaires déclinent toute responsabilité en s'appuyant précisément sur le texte susmentionné. Si les dispositions légales prévoient que « le prestataire de services de paiement du payeur s'efforce de récupérer les fonds engagés dans l'opération de paiement », cette obligation n'amène en réalité que très rarement à la récupération des sommes transférées. Pourtant, des solutions existent : dans plusieurs pays européens, des systèmes de vérification d'identité du bénéficiaire avant exécution du virement ont été mis en place. Le Royaume-Uni a notamment instauré en 2020 le dispositif de « Confirmation of Payee », qui impose aux banques de comparer le nom du titulaire du compte avec celui renseigné par l'émetteur du virement. En cas de discordance, une alerte est émise avant que l'ordre ne soit validé, ce qui permet de détecter et de prévenir la fraude. Les Pays-Bas ont mis en place un système similaire dès 2017, dénommé « IBAN-Naam Check », qui a permis de réduire significativement les cas de fraude aux virements. En France, si certaines banques proposent des dispositifs de sécurité complémentaires comme la validation renforcée des nouveaux bénéficiaires ou des notifications d'alerte, aucun cadre légal ou réglementaire ne les oblige à mettre en œuvre une vérification de concordance entre l'intitulé du compte et l'IBAN. Cette situation est d'autant plus problématique que le nombre de virements SEPA ne cesse d'augmenter avec la dématérialisation croissante des échanges économiques et administratifs. Face à ce constat, plusieurs voix s'élèvent pour demander une évolution du cadre juridique national, mais également européen. La Commission européenne a elle-même reconnu cette lacune dans sa proposition de révision du règlement SEPA, en introduisant une exigence de vérification de la concordance entre le nom et l'IBAN pour les virements instantanés. Néanmoins, cette exigence ne s'applique pas encore aux virements ordinaires, alors que ceux-ci représentent la majorité des flux. Il paraît donc nécessaire d'anticiper cette évolution réglementaire en généralisant cette vérification à l'ensemble des virements. En rendant cette pratique obligatoire pour tous les prestataires de services de paiement, la France contribuerait à renforcer la confiance dans les paiements électroniques et à protéger plus efficacement ses usagers contre les fraudes. Aussi, il souhaite savoir si le Gouvernement envisage de modifier le code monétaire et financier, notamment son article L. 133-21, afin d'obliger les établissements bancaires à vérifier la concordance entre le nom du bénéficiaire saisi et l'intitulé du compte bancaire avant l'exécution de tout virement ou, à défaut, de prévoir des mécanismes d'alerte permettant à l'utilisateur du service de paiement de détecter une éventuelle erreur ou tentative de fraude. Il lui demande également s'il entend soutenir, dans les négociations européennes, l'extension de cette exigence de vérification à l'ensemble des virements SEPA, y compris les virements ordinaires.